"การเข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมที่เข้ากันได้สำหรับการเข้า รหัส ลงชื่อเข้าใช้" ลักษณะพิเศษการตั้งค่าความปลอดภัย ใน Windows XP และ ใน Windows รุ่นที่ใหม่กว่า

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 811833 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

ในสหรัฐอเมริกาสหพันธ์ข้อมูลประมวลผลมาตรฐาน (FIPS) กำหนดความปลอดภัยและความต้องการทำงานร่วมกันสำหรับระบบคอมพิวเตอร์ที่ใช้ โดยรัฐบาลกลางของสหรัฐอเมริกา มาตรฐาน FIPS 140 กำหนดอนุมัติอัลกอริทึมเข้ารหัสลับ มาตรฐาน FIPS 140 ยังได้ตั้งค่าข้างหน้าความต้องการ สำหรับการสร้างคีย์ และ สำหรับการจัดการคีย์ แห่งชาติ Institute ของมาตรฐานและเทคโนโลยี (NIST) ใช้ในโปรแกรมตรวจสอบโมดูลที่เข้ารหัสลับ (CMVP) เพื่อตรวจสอบว่า มีการใช้งานเฉพาะของอัลกอริทึมการเข้ารหัสลับตรงตามมาตรฐาน FIPS 140 การใช้งานของอัลกอริทึมการเข้ารหัสลับจะถือเป็น FIPS 140 เข้ากันได้ก็ต่อเมื่อได้ถูกส่ง และผ่านการตรวจสอบ NIST อัลกอริทึมที่ยังไม่ส่งไม่สามารถจะถือว่าเข้ากันได้กับ FIPS แม้ว่าการดำเนินการที่ก่อให้เกิดข้อมูลที่เหมือนกันเป็นการใช้งานการตรวจของอัลกอริทึมเหมือนกัน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแสดงผลิตภัณฑ์ของ Microsoft และไลบรารีให้กับมาตรฐาน FIPS 140 แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://technet.microsoft.com/en-us/library/cc750357.aspx
ในบางสถานการณ์ โปรแกรมประยุกต์อาจใช้อัลกอริทึมไม่อนุมัติหรือกระบวนการในขณะที่แอพลิเคชันที่ทำงานในโหมดเข้ากันได้กับ FIPS ตัวอย่างเช่น การใช้อัลกอริทึมไม่อนุมัติอาจได้รับอนุญาตในสถานการณ์ต่อไปนี้:
  • เมื่อกระบวนการบางอย่างภายในที่อยู่ภายในคอมพิวเตอร์
  • เมื่อจะถูกเข้ารหัสลับ โดยใช้งานที่เข้ากันได้กับ FIPS นอกจากนี้ข้อมูลบางอย่างจากภายนอก

ข้อมูลเพิ่มเติม

ใน Windows XP และ ใน Windows รุ่นที่ใหม่กว่า ถ้าคุณเปิดใช้งานการตั้งค่าต่อไปนี้ความปลอดภัย ใน นโยบายความปลอดภัยท้องถิ่น หรือ เป็นส่วนหนึ่งของ Group Policy คุณแจ้งให้ทราบโปรแกรมประยุกต์ที่พวกเขาเท่านั้นควรใช้อัลกอริทึมเข้ารหัสลับที่ 140 FIPS เข้ากันได้ และตบันทึก FIPS อนุมัติโหมดของการดำเนินการ:
การเข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมที่เข้ากันได้สำหรับการเข้า รหัส เซ็นชื่อ
นโยบายนี้เป็นคำแนะนำไปยังโปรแกรมประยุกต์เท่านั้น ดังนั้น ถ้าคุณใช้นโยบาย จะไม่ตรวจสอบให้แน่ใจว่า โปรแกรมประยุกต์ทั้งหมดจะเป็นไปตาม ต่อไปนี้ของพื้นที่ที่อยู่ในระบบปฏิบัติการจะได้รับผลกระทบจากการตั้งค่านี้:
  • การตั้งค่านี้ทำให้แพคเกจความปลอดภัย Schannel และโปรแกรมประยุกต์ทั้งหมดที่สร้างบนแพคเกจความปลอดภัย Schannel เจรจาโพรโทคอขนส่งเลเยอร์ความปลอดภัย (TLS) 1.0 เท่านั้น ถ้าการตั้งค่านี้เปิดใช้งานบนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เฉพาะเบราว์เซอร์ที่สนับสนุน TLS 1.0 สามารถเชื่อมต่อ ถ้าการตั้งค่านี้เปิดใช้งานบนไคลเอนต์ เอนต์ Schannel ทั้งหมด เช่น Microsoft Internet Explorer สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ที่สนับสนุนโพรโทคอล TLS 1.0 เท่านั้น สำหรับรายการของชุดการเข้ารหัสที่ได้รับการสนับสนุนเมื่อมีการเปิดใช้งานการตั้งค่าดูชุดการเข้ารหัสในหัวข้อ Schannel

    สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    811834ไม่สามารถเยี่ยมชมไซต์ SSL หลังจากที่คุณเปิดใช้งานการเข้ารหัสที่เข้ากันได้กับ FIPS
  • นอกจากนี้การตั้งค่านี้มีผลต่อบริการเทอร์มินัล ใน Windows Server 2003 และ ใน Windows รุ่นที่ใหม่กว่า ลักษณะพิเศษขึ้นอยู่กับว่ากำลังใช้ TLS สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์

    ถ้าคุณกำลังใช้ TLS สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ การตั้งค่านี้ทำให้ TLS 1.0 เท่านั้นที่จะใช้

    โดยค่าเริ่มต้น ถ้าไม่ได้ใช้ TLS และการตั้งค่านี้ไม่ได้เปิดการใช้งาน บนไคลเอนต์ หรือ บน เซิร์ฟเวอร์ สถานีโพรโทคอลการใช้เดสก์ท็อประยะไกล (RDP) ระหว่างเซิร์ฟเวอร์และไคลเอนต์ถูกเข้ารหัสลับ โดยใช้อัลกอริทึมแบบ RC4 ที่มีความยาว 128 บิตคีย์ หลังจากที่คุณเปิดใช้งานการตั้งค่านี้บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 ต่อไปนี้เป็นจริง:
    • สถานี RDP ถูกเข้ารหัสลับ โดยใช้อัลกอริทึมการ 3DES ในโหมดการเข้ารหัสบล็อกการกำหนดสายงาน (CBC) ที่มีความยาวของกุญแจ 168 บิต
    • อัลกอริทึม SHA-1 ถูกใช้เพื่อสร้างข้อความ digests
    • ไคลเอนต์ต้องใช้โปรแกรมไคลเอ็นต์ RDP 5.2 หรือรุ่นที่ใหม่กว่าในการเชื่อมต่อ
    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่าคอนฟิกบริการเทอร์มินัล ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    814590วิธี การเปิดใช้งาน และ การกำหนดค่าเดสก์ท็อประยะไกลสำหรับการดูแลระบบใน Windows Server 2003
  • ไคลเอนต์ Windows XP ที่ใช้โปรแกรมไคลเอ็นต์ RDP 5.2 และรุ่นที่ใหม่กว่าของ RDP สามารถเชื่อมต่อกับคอมพิวเตอร์ Windows Server 2003, Windows Vista หรือ Windows Server 2008 เมื่อคุณเปิดใช้งานตัวเลือกนี้ อย่างไรก็ตาม เชื่อมต่อเดสก์ท็อประยะไกลกับคอมพิวเตอร์ Windows XP ไม่เมื่อคุณเปิดใช้งานตัวเลือกนี้บนไคลเอนต์หรือเซิร์ฟเวอร์
  • ไคลเอนต์ Windows ที่มีการตั้งค่า FIPS ที่เปิดใช้งานไม่สามารถเชื่อมต่อกับบริการเทอร์มินัล Windows 2000
  • การตั้งค่านี้มีผลต่ออัลกอริทึมการเข้ารหัสลับที่ใช้โดย Encrypting File System (EFS) สำหรับแฟ้มใหม่ แฟ้มที่มีอยู่จะไม่ถูกกระทบ และยังสามารถเข้าถึงได้ โดยใช้อัลกอริทึมการที่จะเข้ารหัสเดิมลับ

    บันทึกย่อ
    • โดยค่าเริ่มต้น EFS บน rtm ของ Windows XP ใช้อัลกอริทึม DESX การ ถ้าคุณเปิดใช้งานการตั้งค่านี้ EFS ใช้ 3DES 168 บิตการเข้ารหัสลับ
    • โดยค่าเริ่มต้น ใน Windows XP Service Pack 1 (SP1), ในภายหลัง Windows XP เซอร์วิสแพ็ค และ ใน Windows Server 2003, EFS ใช้อัลกอริทึมขั้นสูงการเข้ารหัสลับมาตรฐาน (AES) ที่ มีความยาวของกุญแจ 256 บิต อย่างไรก็ตาม EFS ใช้ AES ใช้งานโหมดเคอร์เนล ใช้งานนี้จะไม่ผ่านการตรวจสอบ FIPS บนแพลตฟอร์มเหล่านี้ ถ้าคุณเปิดใช้งานการตั้งค่า FIPS บนแพลตฟอร์มเหล่านี้ ระบบปฏิบัติการใช้อัลกอริทึม 3DES ที่ มีความยาวของกุญแจ 168 บิต
    • ใน Windows Vista และ Windows Server 2008, EFS ใช้อัลกอริทึม AES ที่ มีคีย์ 256 บิต ถ้าคุณเปิดใช้งานการตั้งค่านี้ จะมีใช้ AES-256
    • นโยบายท้องถิ่น FIPS ไม่มีผลต่อการเข้ารหัสลับคีย์รหัสผ่าน
  • โปรแกรมประยุกต์ที่ Microsoft .NET Framework เช่น Microsoft ASP.NET ที่อนุญาตเท่านั้นสำหรับการใช้การใช้งานอัลกอริทึมที่จะมีรับรอง โดย NIST เป็น 140 FIPS เข้ากันได้ โดยเฉพาะ อัลกอริทึมการเข้ารหัสลับเท่านั้นที่สามารถสร้างอินสแตนซ์คลาสคืออุปกรณ์ที่ใช้อัลกอริทึม FIPS เข้ากันได้ ชื่อของคลาสที่เหล่านี้สิ้นสุดใน "CryptoServiceProvider" หรือ "Cng" ใด ๆ พยายามที่จะสร้างอินสแตนซ์ของคลาสอื่น ๆ อัลกอริทึมการเข้ารหัสลับ เช่นคลาสที่ มีชื่อลงท้าย ด้วย "Managed ทำให้เกิดข้อยกเว้น InvalidOperationException จะเกิดขึ้น นอกจากนี้ ใด ๆ ความพยายามในการสร้างอินสแตนซ์ของอัลกอริทึมการเข้ารหัสลับที่ไม่เข้ากันได้ เช่น md 5, FIPS ยังทำข้อยกเว้นของ InvalidOperationException
  • ถ้าเปิดใช้งานการตั้งค่า FIPS การตรวจสอบแอพลิเคชัน ClickOnce ล้มเหลวยกเว้นว่าคอมพิวเตอร์ไคลเอนต์ได้รับการติดตั้งต่อไปนี้อย่างใดอย่างหนึ่ง:
    • 3.5 กรอบงานการ.NET หรือ.NET Framework รุ่นที่ใหม่กว่า
    • ใน.NET Framework 2.0 Service Pack 1 หรือรุ่นที่ใหม่กว่าเซอร์วิสแพ็ค
    บันทึกย่อ
    • ด้วย Visual Studio 2005 โปรแกรมประยุกต์ ClickOnce ไม่สามารถสร้างขึ้นโดยอาศัย หรือเผยแพร่จากคอมพิวเตอร์จำเป็นต้องใช้ FIPS อย่างไรก็ตาม ถ้าคอมพิวเตอร์มีตัว.NET Framework 2.0 SP2 ซึ่งถูกรวมอยู่ใน SP1 .NET Framework 3.5, Visual Studio 2005 สามารถเผยแพร่โปรแกรมประยุกต์ Winforms/WPF
    • ด้วย Visual Studio 2008 โปรแกรมประยุกต์ ClickOnce ไม่สามารถสร้าง หรือเผยแพร่เว้นแต่มีการติดตั้ง Visual Studio 2008 SP1 หรือ Visual Studio รุ่นที่ใหม่กว่า
  • โดยค่าเริ่มต้น ใน Windows Vista และ Windows Server 2008 คุณลักษณะการเข้ารหัสลับไดรฟ์ด้วย BitLocker ใช้ 128 บิตการเข้ารหัส AES พร้อม diffuser ซึ่งมีเพิ่มเติม เมื่อเปิดใช้งานการตั้งค่านี้ BitLocker ใช้การเข้ารหัส AES 256 บิตโดยไม่มี diffuser ได้ นอกจากนี้ รหัสผ่านการกู้คืนจะไม่สร้าง หรือสำรองข้อมูลไปยังบริการไดเรกทอรี Active Directory ดังนั้น คุณไม่สามารถกู้ จากหมุดที่สูญหาย หรือ จากการเปลี่ยนแปลงของระบบ ด้วยการพิมพ์รหัสผ่านการกู้คืนข้อมูลจากแป้นพิมพ์ แทนที่จะใช้รหัสผ่านการกู้คืน คุณอาจสำรองคีย์การกู้คืน บนไดรฟ์ภายในเครื่อง หรือ บนเครือข่ายที่ใช้ร่วมกัน เมื่อต้องการใช้คีย์การกู้คืน ใส่คีย์บนอุปกรณ์แบบ USB จากนั้น ต่อสายอุปกรณ์เข้ากับคอมพิวเตอร์
  • ใน Windows Vista SP1 และรุ่นที่ใหม่กว่า ของ Windows Vista และ ใน Windows Server 2008 เฉพาะสมาชิกของกลุ่มของตัวดำเนินการเข้ารหัสลับสามารถแก้ไขการตั้งค่าการเข้ารหัสลับในนโยบาย IPsec ของไฟร์วอลล์ Windows
บันทึกย่อ
  • หลังจากที่คุณเปิดใช้งาน หรือปิดใช้งานการเข้ารหัสของระบบ: ใช้ FIPS อัลเข้ากันได้สำหรับการเข้า รหัส เซ็นชื่อความปลอดภัยตั้ง คุณต้องเริ่มต้นโปรแกรมประยุกต์ของคุณ เช่น Internet Explorer สำหรับการตั้งค่าใหม่มีผลบังคับใช้
  • การตั้งค่าการรักษาความปลอดภัยนี้มีผลต่อค่ารีจิสทรีต่อไปนี้ ใน Windows Server 2008 และ Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    ค่ารีจิสทรีนี้สะท้อนถึงการตั้งค่าปัจจุบันของ FIPS ถ้าการตั้งค่านี้ถูกเปิดใช้งาน ค่าคือ 1 ถ้าการตั้งค่านี้ถูกปิดการใช้งาน มีค่าเป็น 0
  • การตั้งค่าการรักษาความปลอดภัยนี้มีผลต่อค่ารีจิสทรีต่อไปนี้ ใน Windows Server 2003 และ ใน Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    ค่ารีจิสทรีนี้สะท้อนถึงการตั้งค่าปัจจุบันของ FIPS ถ้าการตั้งค่านี้ถูกเปิดใช้งาน ค่าคือ 1 ถ้าการตั้งค่านี้ถูกปิดการใช้งาน มีค่าเป็น 0

คุณสมบัติ

หมายเลขบทความ (Article ID): 811833 - รีวิวครั้งสุดท้าย: 31 มีนาคม 2556 - Revision: 5.0
ใช้กับ
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Keywords: 
kbhowto kbinfo kbmt KB811833 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:811833

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com